“MalasLocker” un ransomware activo contra Zimbra

Un nuevo ransomware que podría estar orquestado por ciber actores del sexo femenino esta presente en el panorama de amenazas mundial, se hace llamar “MalasLocker” y su objetivo son los servidores de Zimbra vulnerables o comprometidos, con el propósito de sustraer correos electrónicos y encriptar archivos. Sus actividades fueron detectadas a fines de marzo de este año y a la fecha son muchas las empresas y organizaciones que han reportado la afectación de este nuevo malware.
 

Método de infección

No está claro en este momento cómo los actores de amenazas están afectando los servidores de Zimbra pero se presume que podría ser a través de la explotación de las vulnerabilidades asociadas a los siguientes CVE-2022-27924, CVE-2022-27925, CVE-2022-30333 y CVE-2022-37042.
 

Nota de rescate

Al igual como otros ransomware despliega notas de rescate llamadas README.txt, la diferencia está en el contenido de estas notas en las cuales se solicita a las víctimas una donación a una organización benéfica sin fines de lucro validada por los ciber actores para obtener a cambio el descifrador y evitar la filtración de los datos robados.

"A diferencia de los grupos de ransomware tradicionales, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica. Simplemente le pedimos que haga una donación a una organización sin fines de lucro que aprobemos. Es beneficioso para todos, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea" dice la nota de rescate de MalasLocker.

Ilustración 1:  Nota de rescate “MalasLocker”
Fuente: BleepingComputer

Las notas de rescate contienen una dirección de correo electrónico para contactar a los actores de la amenaza o una URL de TOR que incluye la dirección de correo electrónico más reciente del grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador.
 

Víctimas

Hasta el momento en el sitio Onion de MalasLocker en la DeepWeb, se distribuyen los datos robados a 3 empresas y en aviso hay otras 169 víctimas de distintos países varios de ellos georeferenciados en Italia, evidenciándose los ataques según su sitio de extorsión desde el  9 de abril del 2023.
La página principal del sitio de fuga de datos también contiene un mensaje largo lleno de emojis que explica lo que representan y los rescates que requieren.

"Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envíen para que podamos verificar la firma DKIM y asegurarnos de que el correo electrónico sea real", dice el comunicado.
Esta demanda de rescate es muy inusual y, si es honesta, coloca la operación más en el ámbito del hacktivismo.

Ilustración 2:  Víctimas en sitio Onion de MalasLocker
Fuente: CCI Entel
 

Ilustración 3:  Aviso informativo con emojis "MalasLocker"
Fuente: CCI Entel

Tipo de Cifrado

No ha identificado el cifrador para el ransomware "MalasLocker". Sin embargo, el bloque codificado en Base64 en la nota de rescate se decodifica en un encabezado de herramienta de cifrado “Age” necesario para descifrar la clave de descifrado privada de la víctima.

Ilustración 4:  Detección de cifrado poco usado “Age” decodificado en base 64
Fuente: BleepingComputer
 

La herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y líder de seguridad Go en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256.

Este es un método de encriptación poco común, con sólo unas pocas operaciones de ransomware usándolo, y todas ellas dirigidas a dispositivos distintos al sistema operativo Windows.

Hallazgos

Múltiples víctimas han reportado el descubrimiento de archivos JSP sospechosos que han sido cargados en las siguientes ubicaciones:

• /opt/zimbra/jetty_base/webapps/zimbra/
• /opt/zimbra/jetty/webapps/zimbra/public/

Estos archivos fueron encontrados bajo distintos nombres, entre ellos:

• info[.]jsp
• noops[.]jsp
• heartbeat[.]jsp
• Startup1_3[.]jsp

BleepingComputer detectó, que este código se basa en un webshell de código abierto como se nuestra la siguiente ilustración:

Ilustración 5:  WebShell de código abierto
Fuente: BleepingbComputer

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.